我们重视你的隐私，并在产品设计时即以“离线优先、最小化数据”为原则。以下说明结合 MeTrail 的实际权限使用和应用架构，帮助你清晰了解数据的流向与控制方式。

我们不做什么

• 无需注册即可使用；我们不创建账户、不会采集可识别个人身份的信息。
• 不接入第三方广告或分析 SDK，不出售、不共享任何个人数据。
• 不在服务器端存放你的轨迹、地点、照片或笔记，除非你主动启用 iCloud 同步。

我们如何使用权限

• 位置（始终 + 精确）：用于后台自动记录到访（Visits）、更新 Today/足迹地图中心点、维护地理围栏匹配精度。若只授予“使用应用期间”，仅支持手动定位和基础地图展示，无法连续记录行程。
• 通知：用于到达/离开提醒和状态提示，仅在你同意后启用，可随时在系统或 更多 > 设置 > 通知设置 关闭。
• 照片读写：读取：让你为地点/访问附加照片；写入（Add Photos）：在你选择“保存到相册”或导出分享卡片时写入图片。未触发保存时不会写入照片库。
• 文件访问 / iCloud Drive：只在你主动导出或备份数据时使用，用于将导出包写入 Files 或你的 iCloud Drive 私有空间。
• 网络访问：默认离线运行。联网请求仅限两类：① iCloud/CloudKit 同步（若你开启），② Apple 逆地理编码用于将坐标解析为地点名称。无其他外部接口。

数据存储与同步

• 本地：轨迹、地点、附件与日志保存在设备加密沙盒的 Core Data/文件系统内。
• 云端：仅当你在 更多 > 设置 > 同步设置 开启 iCloud，同步目标是你的个人 iCloud 私有数据库；我们不可访问。
• 导出：高级导出写入临时目录后立即交给系统分享，不在应用内保留副本。

日志与诊断

• 日志默认留存在本机，仅含调试信息与错误码，不含敏感内容。
• 你可以在应用内导出日志以便自助排查或与支持团队共享，未导出前不会离开设备。

你的控制权

• 随时在系统设置撤回权限；撤回后相关功能自动降级或关闭。
• 可以随时删除本地数据或通过 iCloud Drive 备份/恢复；未启用同步时，所有数据仅存在本机。

如果你对本隐私政策或权限使用方式有疑问，请通过应用内反馈渠道与我们联系。